ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 12.10.2020
Просмотров: 4203
Скачиваний: 4
СОДЕРЖАНИЕ
Раздел четвертый. Криминалистическая методика расследования
Глава 26. Общие положения криминалистической методики расследования
§ 1. Понятие и содержание криминалистической методики расследования
§ 2. Основания и принципы формирования криминалистических методик расследования
§ 3. Структура и содержание криминалистических методик расследования
Глава 27. Организационно-управленческие основы расследования преступлений
§ 1. Понятие оперативно-розыскной деятельности и ее правовые основы
§ 4. Основы криминалистической профилактики
Глава 28. Методика расследования убийств
§ 1. Криминалистическая характеристика убийств
§ 2. Первоначальный этап расследования убийства при наличии трупа
§ 3. Последующий этап расследования убийства при наличии трупа
§ 4. Особенности расследования убийств "без трупа"
Глава 29. Особенности расследования умышленных убийств, совершаемых наемниками
§ 2. Первоначальный этап расследования умышленных убийств, совершенных наемниками
§ 3. Особенности производства первоначальных следственных действий
§ 2. Выдвижение следственных версий и планирование начала расследования
§ 3. Особенности тактики отдельных следственных действий
Глава 31. Расследование краж, грабежей и разбойных нападений
§ 1. Криминалистическая характеристика краж, грабежей и разбоев
§ 3. Некоторые особенности тактики следственных действий
Глава 32. Методика расследования контрабанды
§ 1. Криминалистическая характеристика контрабанды
§ 2. Типовые следственные ситуации, версии и планирование расследования
§ 3. Взаимодействие при расследовании дел о контрабанде
§ 4. Тактика проведения отдельных следственных действий по делам о контрабанде
Глава 33. Методика расследования налоговых преступлений
§ 1. Обстоятельства, подлежащие доказыванию
§ 2. Выявление налоговых преступлений
§ 3. Методика расследования уклонений от уплаты налогов с организаций
§ 4. Методика расследования налоговых преступлений, совершаемых гражданами
Глава 34. Методика расследования поджогов и преступных нарушений правил пожарной безопасности
§ 1. Криминалистическая характеристика поджогов и нарушений правил пожарной безопасности
§ 2. Тактика осмотра места происшествия по делам о пожарах
§ 3. Особенности тактики отдельных следственных действий
Глава 35. Методика расследования преступного наркобизнеса
§ 1. Характерные особенности преступного наркобизнеса
§ 2. Особенности следственных ситуаций, отработки версий и планирования расследования
§ 3. Первоначальный этап расследования дел о преступном наркобизнесе
Глава 36. Методика расследования экологических преступлений
§ 1. Криминалистическая характеристика экологических правонарушений
§ 2. Типичные следственные ситуации и действия следователя на первоначальном этапе расследования
Глава 37. Методика расследования преступлений против безопасности движения и эксплуатации транспорта
§ 1. Обстоятельства совершения транспортных преступлений
§ 2. Обстоятельства, подлежащие установлению в зависимости от исходных следственных ситуаций
§ 3. Первоначальный этап расследования
§ 4. Последующий этап расследования
Глава 38. Методика расследования преступлений в сфере компьютерной информации
§ 1. Расследование фактов неправомерного доступа к компьютерной информации
§ 2. Расследование создания, использования и распространения вредоносных программ для ЭВМ
§ 3. Расследование нарушения правил эксплуатации ЭВМ, их системы или сети
││ └────────────────────────────┘ │ прохождении сигнала через оператора│◄───┤
││ ┌────────────────────────────┐ └───┬────────────────────┬───────────┘ │
││ │ Специализированная │ ▼ ▼ │
│├─►│ конфигурация оборудования │ ┌─────────────────────┐ ┌─────────────────────────┐ │
││ │ │ ┌───┤ Документы │ ┌──┤ Компьютерная информация │ │
││ └────────────────────────────┘ │ └─────────────────────┘ │ └─────────────────────────┘ │
││ ┌────────────────────────────┐ │ ┌─────────────────────┐ │ ┌─────────────────────────┐ │
││ │ Специальная конфигурация │ │ │ Документы, │ ├─►│Базы данных, фиксирующие │ │
│├─►│ программ работы в сетях │ ├──►│ регистрирующие │ │ │ соединения │ │
││ └────────────────────────────┘ │ │соединения абонентов │ │ └─────────────────────────┘ │
││ ┌────────────────────────────┐ │ └─────────────────────┘ │ ┌─────────────────────────┐ │
│└─►│ Следы в файловой системе │ │ ┌─────────────────────┐ │ │ Коммутаторы, │ │
│ └─┬───────────┬────────────┬─┘ │ │ Протоколы │ └─►│ осуществляющие и │ │
│ │ ▼ │ ├──►│взаиморасчетов между │ │регистрирующие соединения│ │
│ │ ┌──────────────────┐ │ │ │ операторами │ └─────────────────────────┘ │
│ │ │Копии чужих файлов│ │ │ └─────────────────────┘ │
│ │ └──────────────────┘ │ │ ┌─────────────────────┐ │
│ ▼ ▼ │ │ Платежные документы │ │
│ ┌────────────┐┌────────────────┐ └──►│ об оплате трафика │ │
│ │ Программное││Специализирован-│ │ между операторами │ │
│ │ обеспечение││ное "хакерское" │ └─────────────────────┘ │
│ │для создания││ программное │ ┌─────────────────────────┘
│ │ программ ││ обеспечение │ │
│ └────────────┘└────────────────┘ ▼
│ ┌────────────┐ ┌─────────────────────────────────────────────────────────┐
│ │ Прочие │ │Результаты наблюдения при проведении оперативно-розыскных│
└──────────────────────►│ │ │ мер и предварительного следствия │
└──┬─────────┘ └─────────────────────────┬───────────────────────────────┘
┌───────────────────────┐ │ ┌─────────────────────────────────┐ │
│ Рукописные записи │◄─┼─►│Описания программного обеспечения│ │ ┌────────────────────────────┐
│и принтерные распечатки│ │ └─────────────────────────────────┘ ├─►│Пеленгация источника сигнала│
└┬──────────────────────┘ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘
│ ┌───────────────────┐ │ │ Инструкции по пользованию ЭВМ и │ │ ┌────────────────────────────┐
├─►│ Коды доступа │ ├─►│ ее устройствами │ │ │ Прослушивание телефонных и │
│ └───────────────────┘ │ └─────────────────────────────────┘ ├─►│ иных переговоров │
│ ┌───────────────────┐ │ ┌─────────────────────────────────┐ │ └────────────────────────────┘
├─►│ Текста программ │ │ │ Устройства доступа в телефонные │ │ ┌────────────────────────────┐
│ └───────────────────┘ ├─►│ сети и сети ЭВМ │ │ │ Прохождение криминального │
│ ┌───────────────────┐ │ └─────────────────────────────────┘ └─►│ сигнала через оператора │
│ │ Записные книжки с │ │ ┌─────────────────────────────────┐ └────────────────────────────┘
└─►│ именами других │ ├─►│ Нестандартные периферийные │
│ хакеров │ │ └─────────────────────────────────┘
└───────────────────┘ │ ┌─────────────────────────────────┐
└─►│ Счета телефонных компаний │
└─────────────────────────────────┘
Чрезвычайно важны и другие действия, направленные на фиксацию факта нарушения целостности (конфиденциальности) компьютерной системы и его последствий, следов преступных манипуляций виновного субъекта, отразившихся в ЭВМ и на машинных носителях информации, в линиях связи и др.
Способ несанкционированного доступа надежнее установить путем производства судебной информационно-технической экспертизы. Перед экспертом ставится вопрос: "Каким способом был осуществлен несанкционированный доступ в данную компьютерную систему?" Для этого эксперту нужно представить всю проектную документацию на взломанную компьютерную систему, а также данные о ее сертификации. При производстве такой экспертизы не обойтись без использования компьютерного оборудования той же системы, которую взломал преступник, либо специальных технических и программных средств.
В ряде случаев целесообразен следственный эксперимент для проверки возможности преодоления средств защиты компьютерной системы одним из предполагаемых способов. Одновременно может быть проверена возможность появления на экране дисплея конфиденциальной информации или ее распечатки вследствие ошибочных, неумышленных действий оператора либо случайного технического сбоя в электронном оборудовании.
Выясняя надежность средств защиты компьютерной информации, прежде всего следует установить, предусмотрены ли в данной системе или сети ЭВМ меры защиты от несанкционированного доступа, в том числе к определенным файлам. Это возможно в ходе допросов разработчиков и пользователей системы, а также при изучении проектной документации и инструкций по эксплуатации системы. Изучая инструкции, нужно обращать особое внимание на разделы о мерах защиты информации, порядке допуска пользователей к конкретным данным, разграничении их полномочий, организации контроля за доступом. Важно разобраться в аппаратных, программных, криптографических, организационных и других методах защиты информации, поскольку для обеспечения высокой степени надежности компьютерных систем, обрабатывающих документированную информацию с ограниченным доступом, обычно используется комплекс мер по обеспечению их безопасности от несанкционированного доступа.
Так, законодательством предусмотрена обязательная сертификация средств защиты систем и сетей ЭВМ, а кроме того обязательное лицензирование всех видов деятельности в области проектирования и производства названных средств. Поэтому в процессе расследования необходимо выяснить: 1) есть ли лицензия на производство средств защиты информации, задействованных в данной компьютерной системе, от несанкционированного доступа и 2) соответствуют ли их параметры выданному сертификату. Ответ на последний вопрос может дать информационно-техническая экспертиза, с помощью которой выясняется: соответствуют ли средства защиты информации от несанкционированного доступа, использованные в данной компьютерной системе, выданному сертификату? Правда, ответственность за выявленные отклонения, позволившие несанкционированный доступ к компьютерной информации, ложится на пользователя системы, а не на разработчика средств ее защиты.
При установлении лиц, совершивших несанкционированный доступ к конфиденциальной компьютерной информации, следует учитывать, что он является технологически весьма сложным. Осуществить его могут только специалисты, обладающие достаточно высокой квалификацией. Поэтому поиск подозреваемых рекомендуется начинать с технического персонала взломанных компьютерных систем или сетей. Это в первую очередь их разработчики, а также руководители, операторы, программисты, инженеры связи, специалисты по защите информации, другие сотрудники.
Следственная практика свидетельствует, что чем технически сложнее способ проникновения в компьютерную систему или сеть, тем легче установить подозреваемого, ибо круг специалистов, обладающих соответствующими способностями, весьма ограничен.
Доказыванию виновности конкретного субъекта в несанкционированном доступе к компьютерной информации способствует использование различных следов, обнаруживаемых при осмотре ЭВМ и ее компонентов. Это, например, следы пальцев, записи на внешней упаковке дискет и др. Для их исследования назначаются криминалистические экспертизы дактилоскопическая, почерковедческая и др.
Для установления лиц, обязанных обеспечивать надлежащий режим доступа к компьютерной системе или сети, следует прежде всего ознакомиться с должностными инструкциями, определяющими полномочия сотрудников, ответственных за защиту конфиденциальной информации. Их необходимо допросить для выяснения, кто запускал нештатную программу и фиксировалось ли это каким-либо способом. Нужно также выяснить, кто особо увлекается программированием, учится или учился на курсах программистов, интересуется системами защиты информации.
У субъектов, заподозренных в неправомерном доступе к компьютерной информации, производится обыск в целях обнаружения: ЭВМ различных конфигураций, принтеров, средств телекоммуникационной связи с компьютерными сетями, записных книжек, в том числе электронных, с уличающими записями, дискет и дисков с информацией, могущей иметь значение для дела, особенно если это коды, пароли, идентификационные номера пользователей данной компьютерной системы, а также сведения о них. При обыске нужно изымать также литературу и методические материалы по компьютерной технике и программированию. К производству обыска и осмотру изъятых предметов рекомендуется привлекать специалиста по компьютерной технике, незаинтересованного в исходе дела.
Доказать виновность и выяснить мотивы лиц, осуществивших несанкционированный доступ к компьютерной информации, можно лишь по результатам всего расследования. Решающими здесь будут показания свидетелей, подозреваемых, обвиняемых, потерпевших, заключения судебных экспертиз, главным образом информационно-технологических и информационно-технических, а также результаты обысков. В ходе расследования выясняется:
1) с какой целью совершен несанкционированный доступ к компьютерной информации;
2) знал ли правонарушитель о системе ее защиты;
3) желал ли преодолеть эту систему и какими мотивами при этом руководствовался.
Вредные последствия неправомерного доступа к компьютерной системе или сети могут заключаться в хищении денежных средств или материальных ценностей, завладении компьютерными программами, а также информацией путем изъятия машинных носителей либо копирования. Это может быть также незаконное изменение, уничтожение, блокирование информации, выведение из строя компьютерного оборудования, внедрение в компьютерную систему вредоносного вируса, ввод заведомо ложных данных и др.
Хищения денежных средств чаще всего совершаются в банковских электронных системах путем несанкционированного доступа к их информационным ресурсам, внесения в последние изменений и дополнений. Такие посягательства обычно обнаруживают сами работники банков, устанавливаются они и в ходе оперативно-розыскных мероприятий. Сумма хищения определяется посредством судебно-бухгалтерской экспертизы.
Факты неправомерного завладения компьютерными программами вследствие несанкционированного доступа к той или иной системе и их незаконного использования выявляют, как правило, потерпевшие. Максимальный вред причиняет незаконное получение информации из различных компьютерных систем, ее копирование и размножение с целью продажи либо использования в других преступных целях (например, для сбора компрометирующих данных на кандидатов на выборные должности различных представительных и исполнительных органов государственной власти).
Похищенные программы и базы данных могут быть обнаружены в ходе обысков у обвиняемых, а также при оперативно-розыскных мероприятиях. Если незаконно полученная информация конфиденциальна или имеет категорию государственной тайны, то вред, причиненный ее разглашением, определяется представителями Гостехкомиссии России.
Факты незаконного изменения, уничтожения, блокирования информации, выведения из строя компьютерного оборудования, "закачки" в информационную систему заведомо ложных сведений выявляются прежде всего самими пользователями компьютерной системы или сети. Следует учитывать, что не все эти негативные последствия наступают в результате умышленных действий. Их причиной могут стать случайные сбои в работе компьютерного оборудования, происходящие довольно часто.
При определении размера вреда, причиненного несанкционированным доступом, учитываются не только прямые затраты на ликвидацию негативных последствий, но и упущенная выгода. Такие последствия устанавливаются в ходе следственного осмотра компьютерного оборудования и носителей информации с анализом баз и банков данных. Помогут здесь и допросы технического персонала, владельцев информационных ресурсов. Вид и размер ущерба обычно определяются посредством комплексной экспертизы, проводимой с участием специалистов в области информатизации, средств вычислительной техники и связи, экономики, финансовой деятельности и товароведения.
На заключительном этапе расследования формируется целостное представление об обстоятельствах, которые облегчили несанкционированный доступ к компьютерной информации. Здесь важно последовательное изучение различных документов, особенно относящихся к защите информации. Весьма значимы материалы ведомственного (служебного) расследования.
К этим обстоятельствам относятся: